Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.5 — Naturkatastrophen

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.7.5A.7.11A.7.13 BSI IT-GrundschutzISO 27001ISO 27002

Naturkatastrophen stehen selten im Fokus der täglichen IT-Sicherheitsarbeit, aber wenn sie eintreten, ist das Schadensausmass oft existenzbedrohend. Ein Hochwasser unterscheidet nicht zwischen geschützten und ungeschützten Bereichen. Es zerstört alles, was auf seinem Weg liegt.

Das BSI führt Naturkatastrophen als elementare Gefährdung G 0.5. Erdbeben, Hochwasser, Stürme, Erdrutsche, Lawinen — die Art des Risikos hängt vom Standort ab, aber kein Standort in Mitteleuropa ist vollständig frei von Naturgefahren.

Was steckt dahinter?

Naturkatastrophen umfassen seismische, klimatische und vulkanische Phänomene, die verheerende Auswirkungen auf Menschen und Infrastruktur haben. Im DACH-Raum sind vor allem Hochwasser, Stürme und (regional) Erdbeben relevant.

Die größte Gefahr geht von der Kombination aus Naturereignis und mangelnder Vorbereitung aus. Ein Rechenzentrum im Überschwemmungsgebiet kann baulich geschützt werden — wenn es geschützt ist. Die meisten Schäden entstehen, weil das Risiko bekannt war, aber keine Maßnahmen umgesetzt wurden.

Naturgefahren

  • Hochwasser und Überschwemmungen — Der häufigste Schadensfall in Deutschland. Flusshochwasser (Elbe, Donau, Rhein), Sturzfluten nach Starkregen und steigendes Grundwasser können Kellerräume und Erdgeschosse fluten. Rechenzentren in Kellerräumen sind besonders verwundbar.
  • Schwere Unwetter — Orkanböen beschädigen Gebäudehüllen und Infrastruktur (Antennen, Klimaanlagen auf dem Dach, Fenster). Hagel kann Solaranlagen und Kühlgeräte auf dem Dach zerstören. Blitzschlag verursacht Überspannungsschäden.
  • Erdbeben — In Deutschland besteht entlang des Oberrheingrabens, in der Schwäbischen Alb, im Vogtland und am Niederrhein ein messbares seismisches Risiko. Auch moderate Erdbeben (Magnitude 4–5) können Gebäude und Infrastruktur beschädigen.
  • Erdrutsche und Hangbewegungen — In hügeligen und bergigen Regionen, besonders nach Starkregen oder Schneeschmelze.

Schadensausmass

Auch Organisationen, die nicht unmittelbar betroffen sind, können erhebliche Einschränkungen erfahren. Großflächige Sperrbereiche verhindern, dass Personal die Gebäude erreicht. Versorgungsnetze (Strom, Wasser, Kommunikation) können regional über Tage oder Wochen ausfallen. Zulieferer und Dienstleister sind möglicherweise gleichzeitig betroffen — eine Kettenreaktion, die in der Notfallplanung häufig unterschätzt wird.

Praxisbeispiele

Rechenzentrum im Überschwemmungsgebiet. Ein mittelständisches Unternehmen betreibt sein Rechenzentrum im Untergeschoss eines Gebäudes am Flussufer. Die Hochwassergefährdung ist bekannt, aber Maßnahmen wurden aufgeschoben. Beim nächsten Hochwasser dringt Wasser über die Kellerfenster und die Kanalisation ein. Die gesamte IT fällt aus. Die Versicherung verweigert die Zahlung, weil der Standort in einem ausgewiesenen Überschwemmungsgebiet liegt.

Orkan zerstört Dachinfrastruktur. Auf dem Flachdach eines Bürogebäudes stehen Klimaanlagen, Satellitenschüsseln und Antennen. Ein Orkan mit Böen über 130 km/h reißt eine Klimaeinheit aus der Verankerung und beschädigt die Dachskin. Regenwasser dringt durch die beschädigte Stelle ein und fließt in den darunter liegenden Serverraum. Gleichzeitig fällt die Klimatisierung des Serverraums aus.

Starkregen und Sturzflut. Ein extremes Starkregenereignis überrascht eine Kleinstadt. Innerhalb einer Stunde fällt die Regenmenge eines halben Monats. Die Kanalisation ist überlastet, Wasser schießt durch Straßen und Tiefgaragen. Das Bürogebäude eines IT-Dienstleisters wird geflutet — das Erdgeschoss steht 40 Zentimeter unter Wasser. Der Stromverteiler im Erdgeschoss wird zerstört. Personal kann das Gebäude erst zwei Tage später wieder betreten.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 3 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

BSI IT-Grundschutz

G 0.5 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • INF.1 (Allgemeines Gebäude) — Standortbewertung, baulicher Schutz gegen Naturgefahren und Notfallplanung.
  • INF.2 (Rechenzentrum sowie Serverraum) — Erweiterte Schutzanforderungen für Standorte mit bekannten Naturgefahren.
  • INF.5 (Raum sowie Schrank für technische Infrastruktur) — Schutz von Technikräumen vor Naturereignissen.
  • DER.4 (Notfallmanagement) — Business-Continuity-Planung für großflächige Schadensereignisse.

Quellen

Abdeckende ISO-27001-Kontrollen

A.7.5 Schutz gegen Umweltbedrohungen A.7.11 Unterstützende Versorgungseinrichtungen A.7.13 Instandhaltung von Geräten

Häufig gestellte Fragen

Sind Naturkatastrophen in Deutschland ein realistisches Risiko für IT-Infrastruktur?

Ja. Hochwasserereignisse treten regelmäßig auf — an Rhein, Elbe, Donau und deren Nebenflüssen sind ganze Regionen betroffen. Schwere Unwetter mit Orkanböen oder Hagelschlag können Gebäude und Infrastruktur beschädigen. In bestimmten Regionen (Oberrheingraben, Schwäbische Alb) besteht zudem Erdbebenrisiko. Das Risiko variiert stark nach Standort.

Wie berücksichtige ich den Standort in der Risikoanalyse?

Prüfe Hochwasserkarten (Länder-Geoportale), seismische Gefährdungskarten (GFZ Potsdam) und historische Wetterdaten für den Standort. Dokumentiere die standortspezifischen Risiken in der Risikoanalyse und leite daraus Maßnahmen ab: Gebäudeschutz, Notfallpläne, georedundante Systeme.

Braucht jede Organisation einen zweiten Standort?

Georedundanz ist die wirksamste Maßnahme gegen Naturkatastrophen, aber für viele Organisationen wirtschaftlich nicht darstellbar. Alternativen: Cloud-Backups in einer anderen Region, vertraglich gesicherte Ausweicharbeitsplätze, Disaster-Recovery-as-a-Service. Entscheidend ist, dass die Wiederherstellungsstrategie dokumentiert und getestet ist.